Une RCE CVSS 8.8 dans Microsoft SharePoint Server est activement exploitée par Storm-2603 pour déployer le ransomware Warlock. Patch disponible depuis mai 2026, deadline CISA expirée, plus de 10 000 serveurs toujours exposés.
En bref
- CVE-2026-45659 (CVSS 8.8) : exécution de code à distance via désérialisation dans Microsoft SharePoint Server, exploitée activement par Storm-2603 pour déployer le ransomware Warlock
- Versions affectées : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition — plus de 10 000 instances exposées sur internet selon Shadowserver
- Action requise : appliquer le correctif de mai 2026 sans délai — la directive CISA BOD 26-04 imposait une échéance au 5 juillet 2026 pour les agences fédérales américaines
Les faits
Le 21 mai 2026, Microsoft a intégré dans son cycle mensuel de mises à jour de sécurité un correctif pour la CVE-2026-45659, une vulnérabilité de type Remote Code Execution affectant trois versions de Microsoft SharePoint Server. La faille réside dans le traitement des données sérialisées côté serveur : SharePoint ne valide pas suffisamment les objets .NET désérialisés lors du traitement de certaines requêtes HTTP, ouvrant la porte à l’exécution de commandes arbitraires avec les privilèges du pool d’application IIS. Le score CVSS atteint 8.8 sur 10 — vecteur réseau, complexité faible, privilèges minimaux requis (niveau Site Member), sans interaction utilisateur nécessaire.
La particularité de cette CVE réside dans la combinaison de deux facteurs aggravants. Premièrement, le niveau de privilège requis : un attaquant disposant d’un simple compte « Site Member » — le niveau d’accès le plus bas accordé aux utilisateurs collaboratifs dans SharePoint — peut déclencher l’exploitation. Dans de nombreux environnements d’entreprise, ce type de compte est accordé automatiquement lors de l’onboarding des employés, voire des prestataires externes. Deuxièmement, l’exposition directe sur internet : selon les données collectées par Shadowserver début juillet 2026, plus de 10 000 instances SharePoint Server restaient accessibles depuis internet sans filtrage efficace, constituant une surface d’attaque identifiable par des outils de scan automatisé comme Shodan ou Censys.
Le 2 juillet 2026, la CISA a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities, confirmant l’exploitation active dans des environnements réels. La directive Binding Operational Directive 26-04 s’est appliquée immédiatement : toutes les agences civiles fédérales américaines disposaient jusqu’au 5 juillet 2026 pour soit appliquer le correctif, soit déconnecter les systèmes SharePoint concernés de tout réseau. Cette directive, contraignante pour le gouvernement américain, constitue également un signal fort pour les organisations privées — la CISA ne l’émet que lorsque l’exploitation est documentée à une échelle significative et représente un risque systémique.
Le groupe Storm-2603 est au centre des exploitations documentées. Suivi depuis la mi-2025 par plusieurs équipes de threat intelligence, ce groupe s’est spécialisé dans l’exploitation des vulnérabilités SharePoint on-premises comme vecteur d’accès initial. Storm-2603 ne se contente pas de l’intrusion initiale : il enchaîne rapidement avec le déploiement du ransomware Warlock, un chiffreur apparu en 2025 qui adopte le modèle de double extorsion — exfiltration des données suivie du chiffrement des systèmes — pour maximiser la pression sur les victimes. Warlock cible prioritairement les partages réseau Windows, les bases de données accessibles depuis le serveur compromis, et les sauvegardes locales non segmentées.
Sur les 11 vulnérabilités Microsoft SharePoint référencées dans le catalogue KEV de la CISA depuis 2021, 7 ont été documentées comme point d’entrée initial dans des chaînes d’attaque aboutissant au déploiement de ransomwares. SharePoint on-premises s’est ainsi imposé comme l’un des vecteurs les plus récurrents dans ce contexte, en grande partie parce que ces déploiements sont souvent dépriorisés dans les cycles de patch management : la criticité opérationnelle du service — portail collaboratif consulté en permanence — crée une réticence à appliquer des mises à jour qui nécessitent des redémarrages de pool IIS. C’est précisément cette fenêtre de vulnérabilité prolongée que les groupes comme Storm-2603 exploitent.
Techniquement, CVE-2026-45659 s’appuie sur des techniques de désérialisation .NET bien documentées dans la littérature de sécurité depuis les travaux de James Forshaw et Chris Frohoff sur les gadget chains en 2017. L’outil ysoserial.net, largement connu dans la communauté des pentesters et des chercheurs en sécurité, permet de générer des charges utiles exploitant les bibliothèques .NET disponibles sur le serveur cible. Appliquée à SharePoint, cette technique permet à un attaquant de faire exécuter des commandes systèmes avec les droits du compte de service IIS — un compte qui dispose généralement de privilèges étendus sur le serveur local et parfois de droits en lecture/écriture sur des ressources Active Directory. Il n’existe pas à ce stade d’indication d’un PoC public librement accessible, mais l’exploitation active par Storm-2603 confirme qu’un exploit fonctionnel circule dans les réseaux criminels depuis au moins fin juin 2026.
Plusieurs sociétés de réponse à incident ont rapporté des déploiements Warlock dans des organisations en Europe occidentale et en Amérique du Nord entre fin juin et début juillet 2026, avec SharePoint on-premises comme point d’entrée confirmé par analyse forensique. Les secteurs les plus touchés incluent les collectivités territoriales, les établissements de santé et les cabinets juridiques — autant d’organisations qui maintiennent des déploiements SharePoint on-premises pour des raisons de contrôle des données, de contraintes réglementaires ou de coûts de migration vers des solutions cloud. Microsoft n’a pas communiqué de chiffre global sur le nombre de victimes identifiées.
Pour les équipes IT confrontées à l’urgence de ce patch, Microsoft a confirmé que le correctif de mai 2026 s’applique sans prérequis supplémentaire sur les trois versions affectées. Les tests de régression internes et les retours de déploiement des premières organisations à avoir patché n’ont pas signalé de régressions fonctionnelles majeures. Le redémarrage du pool d’application IIS est requis et peut être planifié en dehors des heures de bureau. Aucun workaround technique — filtrage WAF, restriction de User-Agent, désactivation de fonctionnalités — ne constitue une mitigation fiable face à la diversité des payloads de désérialisation .NET possibles.
Impact et exposition
Toute organisation hébergeant Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition est exposée, quelle que soit la topologie réseau. L’exposition est maximale pour les instances accessibles depuis internet, mais une exposition purement interne reste dangereuse : Storm-2603 utilise des credentials compromis récupérés via phishing ou achats sur des marchés darknet pour se connecter au réseau d’entreprise avant d’exploiter SharePoint. Un compte Site Member compromis dans votre organisation suffit à déclencher l’exploitation depuis l’intérieur du périmètre réseau. Les hébergeurs d’infrastructure mutualisée hébergeant plusieurs tenants SharePoint sur la même instance présentent un risque de rebond entre clients particulièrement critique.
Recommandations
- Appliquer immédiatement le correctif Microsoft de mai 2026 sur toutes les instances SharePoint Server 2016, 2019 et Subscription Edition
- À défaut de patch immédiat : restreindre l’accès réseau au service SharePoint aux seuls réseaux de confiance et imposer une authentification multi-facteurs sur tous les points d’entrée
- Auditer les comptes actifs disposant du rôle « Site Member » et révoquer les accès non justifiés, notamment les comptes de prestataires inactifs
- Rechercher des indicateurs de compromission Storm-2603/Warlock : processus enfants anormaux de w3wp.exe, connexions sortantes vers des IP inconnues, création de comptes de service récents, fichiers avec extensions de chiffrement Warlock
- Examiner les journaux IIS pour des requêtes POST anormalement volumineuses à destination des endpoints SharePoint de traitement de sérialisation
Alerte critique
CVE-2026-45659 est activement exploitée par Storm-2603 dans des attaques menant au déploiement du ransomware Warlock. La deadline CISA est expirée le 5 juillet 2026. Toute instance SharePoint Server non patchée doit être traitée comme potentiellement compromise. Patch immédiat ou isolation réseau totale — il n’existe aucun workaround fiable.
Nos serveurs SharePoint ne sont accessibles que depuis le réseau interne : sommes-nous à l’abri ?
Non. Storm-2603 utilise systématiquement des credentials compromis pour se connecter via VPN ou accès distant avant d’exploiter SharePoint. Si un seul compte « Site Member » a été compromis — via phishing, credential stuffing ou achat sur le darknet — l’attaquant peut exploiter CVE-2026-45659 depuis l’intérieur de votre périmètre réseau. Patcher reste impératif, indépendamment de l’exposition réseau directe.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu’elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JadePuffer : le premier ransomware piloté par LLM autonome frappe en 31 secondes
JadePuffer est le premier ransomware entièrement opéré par un agent LLM autonome. En 31 secondes, il a enchâîné CVE-2025-3248 (Langflow) et CVE-2021-29441 (Nacos) pour chiffrer 1 342 configurations via MySQL AES_ENCRYPT() — avec un défaut de stockage de clé rendant les données potentiellement irrécupérables.
FortiBleed : 430 000 FortiGate ciblés, INC Ransom et Lynx déploient un sniffer de credentials
La campagne FortiBleed a ciblé plus de 430 000 pare-feux FortiGate via des vulnérabilités FortiOS. Les groupes INC Ransom et Lynx ont déployé un sniffer interceptant les credentials VPN, avec 12 déploiements ransomware confirmés et 354 environnements intégralement compromis jusqu’au domain admin.
La course aux modèles IA s'accélère en juin 2026
Juin 2026 s'impose comme le mois le plus dense de l'IA générative : GPT-5.6 détecté dans les logs Codex d'OpenAI, Gemini 3.5 Pro en préversion Vertex AI, et Qwen3.7 Max d'Alibaba qui rivalise avec les meilleurs modèles occidentaux à moitié prix.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire